concept w - stock.adobe.com
Ransomware : un autre mois explosif
Le mois de novembre 2024 semble avoir été particulièrement intense sur le front des rançongiciels, quoiqu’un peu moins que celui d’octobre. Mais la France continue de faire figure d’exception privilégiée.
En novembre 2024, ransomware.live a compté près de 700 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 513 cyberattaques et revendications à travers le monde, un nombre record, quoiqu’en retrait par rapport à octobre, réévalué à 581 cas.
Ce niveau de la menace, pour novembre, renvoie à août dernier ou encore décembre 2023, tout en les dépassant. Et cela après quelques mois de calme relatif, entre juin et septembre.
Dans ce tohu-bohu, l’enseigne RansomHub continue de s’imposer comme la principale alternative à un LockBit 3.0 remarquablement discret le mois d’août. Play n’est pas en reste et Akira a décidé de faire un retour en fanfare. Black Basta et Qilin pourraient avoir adopté une logique comparable, même si INC Ranson et Lynx ne manquent pas d’être actifs, de même que Cloak, sans oublier Play ou encore ThreeAM et BlackSuit. Ces trois derniers maintiennent un rythme plus posé que d’autres, mais n’en restent pas moins bien actifs.
L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 260, le second chiffre le plus élevé sur un an, derrière octobre (295). L’activité malveillante est stable, sur un mois, dans la région Allemagne-Autriche-Suisse, mais progresse légèrement dans le Benelux et les Nordiques, ainsi qu’en Amérique latine.
En France, la partie visible de la menace recule sur un mois pour revenir au niveau de septembre, mais c’est trompeur : de nombreux incidents survenus en octobre n’ont été découverts qu’en novembre.
Le nombre de demandes d’assistance, pour ransomware, reçues par Cybermalveillance.gouv.fr (hors particuliers) durant le mois de novembre reste étonnamment bas par rapport à 2023 et même 2024 : 65. Il s’inscrit toutefois dans une tendance à la hausse régulière depuis le mois d’août.
L’actualité en bref
- Selon une étude de Cybermalveillance.gouv.fr, 10 % des collectivités locales ont subi des cyberattaques en 2024, principalement via hameçonnage (30 % des cas). Malgré une prise de conscience accrue, la préparation reste limitée : seulement 14 % des collectivités se jugent bien préparées, souvent faute de budget, de compétences ou de dispositifs adaptés. L’étude souligne l’écart croissant entre petites collectivités et celles de plus de 1 000 habitants, et appelle à une sensibilisation accrue et un accompagnement renforcé.
- Des cybercriminels exploitent l’API de DocuSign pour envoyer en masse de fausses factures, qui semblent authentiques grâce à des comptes et modèles légitimes. Ces attaques, difficiles à détecter, utilisent des demandes d’e-signatures pour inciter les victimes à autoriser des paiements frauduleux. La sécurité API et des mesures internes renforcées sont essentielles pour protéger les entreprises contre ces abus sophistiqués.
- Une attaque massive de ransomware PSAUX a touché plus de 22 000 instances de CyberPanel exposées en ligne via une vulnérabilité critique d’exécution de code à distance. L’attaque a compromis des serveurs gérant des milliers de domaines et bases de données, entraînant le chiffrement de fichiers et des demandes de rançons. Les utilisateurs sont invités à faire des mises à jour immédiatement vers la version corrigée de CyberPanel pour éviter de nouvelles exploitations.
- Un nouveau ransomware nommé Ymir a été détecté en Colombie, utilisé avec le malware RustyStealer. Les attaquants ont pénétré des systèmes via des commandes PowerShell, affaibli les défenses et déployé le ransomware, qui chiffre les fichiers avec ChaCha20 et laisse une note de rançon en PDF. L’attaque révèle des techniques avancées, notamment l’utilisation d’un infostealer pour compromettre des comptes privilégiés.
- Selon la CISA, l’enseigne de ransomware BianLian s’oriente désormais exclusivement vers le vol de données plutôt que le chiffrement, exploitant des vulnérabilités pour accéder aux systèmes et exfiltrer des informations sensibles. Ce changement stratégique est apparu après l’introduction de déchiffreurs qui ont réduit l’efficacité du chiffrement.
- Bitdefender a publié un déchiffreur gratuit pour le ransomware ShrinkLocker, qui détourne BitLocker de Windows pour chiffrer les disques avec des mots de passe aléatoires. Ce logiciel permet de récupérer ces mots de passe, annulant ainsi le chiffrement, si utilisé rapidement après l’attaque. ShrinkLocker, bien que techniquement rudimentaire, a compromis des cibles majeures, notamment dans le secteur de la santé.
